Реферат: Системи і методи виявлення вторгнень у комп’ютерні системи

Вбудована експертиза гарна тільки в тому випадку, якщо модельований навички адміністратора безпеки не суперечливі. Це практичне міркування, можливо, стосується недостатньої централізованості зусиль експертів безпеки в напрямку створення вичерпних множин правил.

Виявляються лише відомі уразливості.

Існують певний програмний інжиніринг, пов'язаний з установкою (підтримкою) баз знань. Під час додавання або видалення будь-якого з правил повинно змінюватися інше безліч правил.

Об'єднання різних вимірів вторгнень і створення пов'язаної картини вторгнення призводить до того, що приватні причини стають невизначеними. Обмеження продукційних систем, в яких використовується невизначена причина, досить добре відомі.

4.3 Аналіз зміни станів

Цей метод був описаний в STAT [10] і реалізований в USTAT [11]. Сигнатура вторгнення представляється як послідовність переходів між станами захищається системи. Паттерни атаки (сукупність значень параметрів оцінки) відповідають якому-то станом захищається системи і мають пов'язану з ними логічну функцію. Якщо ця функція виконується, то вважається, що система перейшла в цей стан. Наступні стану з'єднані з поточними лініями, які представляють собою необхідні події для подальших переходів. Типи можливих подій вбудовані в модель і відповідають, хоча і не обов'язково, значень параметрів оцінки за принципом один до одного .

Паттерни атаки можуть тільки задати послідовність подій, тому більш складний спосіб визначення подій не підтримується. Більш того, відсутня загальний механізм цілей, який можна було б використовувати для обрізання часткового відповідності атак, замість цього використовується проста вбудована логічна функція.

4.4 Спостереження за натисканням клавіш

Для виявлення атак в даній технології використовується моніторинг за натисканням користувача на клавіші клавіатури. Основна ідея - послідовність натисків користувача задає патерн атаки. Недоліком цього підходу є відсутність досить надійного механізму перехоплення роботи з клавіатурою без підтримки операційної системи, а також велику кількість можливих варіантів подання однієї і тієї ж атаки. Крім того, без семантичного аналізатора натисків різного роду псевдоніми команд можуть легко зруйнувати цю технологію. Оскільки вона спрямована на аналіз натискань клавіш, автоматизовані атаки, які є результатом виконання програм зловмисника, також можуть бути не виявлені

4.5 Методи, засновані на моделюванні поведінки зловмисника

Одним з варіантів виявлення зловживання є метод об'єднання моделі зловживання з очевидними причинами. Його суть полягає в наступному: є база даних сценаріїв атак, кожна з яких об'єднує послідовність поводжень, що становлять атаку. У будь-який момент часу існує можливість того, що в системі має місце одне з цих підмножин сценаріїв атак. Робиться спроба перевірки припущення про їхню наявність шляхом пошуку інформації в записах аудиту. Результатом пошуку є якась кількість фактів, достатню для підтвердження або спростування гіпотези. Перевірка виконується в одному процесі, який отримав назву антісіпатор. Антісіпатор, грунтуючись на поточному активної моделі, формує наступне можливе безліч поводжень, яке необхідно перевірити у записах аудиту, і передає їх планувальником. Планувальник визначає, як передбачуване поведінка відображається в записах аудиту і трансформує їх у системно-аудітозавісімое вираз. Ці вирази повинні складатися з таких структур, які можна було б просто знайти в записах аудиту, і для яких була б досить висока ймовірність появи в записах аудиту.

У міру того як підстави для підозр деяких сценаріїв накопичуються, а для інших - знижуються, список моделей активностей зменшується. Обчислення причин вбудовано в систему і дозволяє оновлювати ймовірність появи сценаріїв атак в списку моделей активності [13].

Переваги:

з'являється можливість зменшити кількість істотних обробок, необхідних для одного запису аудиту; спочатку спостерігаються більш «грубі» події в пасивному режимі, і далі, як тільки одна з них виявлено, спостерігаються більш точні події;

планувальник забезпечує незалежність подання від форми даних аудиту.

Недоліки:

при застосуванні даного підходу в особи, відповідальної за створення моделі виявлення вторгнення, з'являється додаткове навантаження, пов'язана з призначенням змістовних і точних кількісних характеристик для різних частин графічного представлення моделі;

ефективність цього підходу не була продемонстрована створенням програмного прототипу; з опису моделі не ясно, як поведінки можуть бути ефективно складені в планувальнику, і який ефект це матиме на систему під час роботи;

цей підхід доповнює, але не замінює підсистему виявлення аномалій.

5. Недоліки існуючих систем виявлення

Недоліки сучасних систем виявлення можна розділити на дві групи - недоліки, пов'язані зі структурою СОВ, і недоліки, пов'язані з реалізованим методам виявлення.

Недоліки структур СОВ.

Відсутність загальної методології побудови. Частково це можна пояснити недостатністю спільних угод в термінології, тому що СОВ - це досить новий напрямок, засноване Андерсоном (JP Anderson) в 1980 р. [14].

Ефективність. Часто методи системи намагаються знайти будь-яку зрозумілу атаку, що призводить до низки незадовільних наслідків. Наприклад, при виявленні аномалій істотно споживається ресурси - для будь-якого профайла потрібні оновлення для кожного з спостережуваних подій. При виявленні зловживань зазвичай використовуються командні інтерпретатори експертних систем, за допомогою яких кодуються сигнатури. Дуже часто ці командні інтерпретатори обробляють свою власну безліч правил і, відповідно, також споживають ресурси. Більш того, безліч правил допускає лише непрямі залежності послідовності зв'язків між подіями.

Портативність. До цих пір більшість СОВ створюється для використання на конкретному обладнанні, і достатньо важко використовувати їх в іншій системі, де потрібно реалізувати схожу політику безпеки. Наприклад, завдання з переміщення СОВ із системи, в якій підтримується тільки однорівневий список доступу, у систему з багаторівневою досить складна, і для її рішення будуть потрібні значні доробки. Основною причиною цього є те, що багато СОВ спостерігають за певними пристроями, програмами конкретної ОС. Також слід зауважити, що кожна ОС розробляється для виконання конкретних завдань. Отже, переорієнтувати СОВ на інші ОС досить складно, за винятком тих випадків, коли ОС розроблені в якомусь загальному стилі.

Можливості оновлення. Дуже складно відновити існуючі системи новими технологіями виявлення. Нова підсистема повинна взаємодіяти зі всією системою, і часом неможливо забезпечити універсальну можливість взаємодії.

Для установки СОВ дуже часто потрібні додаткові навички, істотно відрізняються від навичок у сфері безпеки. Наприклад, для оновлення безлічі правил в системах виявлення зловживань необхідні спеціалізовані знання експертної системи. Подібне можна сказати і про статичні вимірювання системи виявлення аномалій.

Продуктивність і допоміжні тести - важко оцінити продуктивності СОВ в реальних умовах. Більш того, відсутня загальний набір правил для тестування СОВ, на підставі яких можна було сказати про доцільність використання даної системи в конкретних умовах і отримати якісь кількісні показники.

Відсутність хороших способів тестування.